如何删除 ApolloShadow 恶意软件

除恶意应用程序的简单步骤

ApolloShadow 是一款专门用于间谍活动的有害计算机程序。它并非随机病毒，而是由一个名为“秘密暴雪”（Secret Blizzard）的黑客组织开发，据信该组织与俄罗斯政府情报机构 FSB 存在关联。该组织多年来一直参与网络攻击，并以 Turla、VENOMOUS BEAR 和 Waterbug 等其他名称为人所知。ApolloShadow 是他们最新的工具之一，并于 2024 年左右被用于网络间谍活动。

ApolloShadow 的主要目标是位于莫斯科的外交机构和敏感机构，包括外国大使馆和其他高度戒备的办公室。该恶意软件是其更大规模秘密收集这些实体信息行动的一部分，专家认为，随着时间的推移，该行动可能会扩展到其他地区或目标。ApolloShadow 尤其危险的原因在于它入侵设备的方式以及一旦进入设备后的操作方式。

ApolloShadow 恶意软件使用一种名为“中间人攻击”（Adversary-in-The-Middle，简称 AiTM）的技术。这意味着攻击者将自己置于受害者和互联网之间，就像一个监听对话的间谍。在最近的攻击中，这种情况发生在互联网服务提供商（ISP）层面。这意味着攻击者能够干扰互联网连接本身。当受害者尝试连接到互联网时，他们会被重定向到一个由攻击者控制的虚假网站。该网站旨在诱骗用户安装所谓的根证书。

根证书就像一个数字身份证，它会告诉您的计算机应该信任哪些网站和软件。如果安装了伪造的证书，攻击者可以让您的计算机信任有害的网站或程序。在 ApolloShadow 的案例中，伪造证书伪装成知名安全软件卡巴斯基反病毒软件。一旦受害者安装了此证书，ApolloShadow 就会进入系统并开始监视。它会收集有关设备的信息，包括网络详细信息和 IP 地址，并尝试获取管理员访问权限。

如果用户尚未获得管理员权限，ApolloShadow 恶意软件会触发一个弹出窗口，请求安装证书的权限。在已观察到的攻击中，该文件名为“CertificateDB.exe”，看起来像是合法的卡巴斯基安装程序。该恶意软件甚至会显示一条消息，声称正在安装证书，使其看起来更可信。一旦获得管理员权限，ApolloShadow 就会使设备在网络上可被发现，并削弱防火墙以允许文件共享。

ApolloShadow 还足够智能，可以与不同的 Web 浏览器配合使用。对于基于 Chromium 的 Chrome 和 Edge 等浏览器，伪造的证书会被自动接受。对于 Firefox，ApolloShadow 会更改浏览器的设置，以使证书不会被拒绝。这使得该恶意软件能够保持隐藏状态并继续进行监视而不被发现。它甚至可以剥离 SSL 加密等安全层，这意味着它可以查看受害者访问的网站并窃取登录凭据和令牌等敏感数据。

为了确保能够长期监视，ApolloShadow 恶意软件会在设备上创建一个秘密的管理员帐户。在已知案例中，该帐户名为“UpdatusUser”，并拥有永不过期的密码。这使得攻击者能够持续访问设备，即使原始用户尝试删除恶意软件。由于 ApolloShadow 受到国家行为体的支持，它能够获取强大的工具和内部信息，因此很难被发现和阻止。

ApolloShadow 用于网络间谍活动，这意味着它旨在秘密收集情报。由于它可以长期隐藏并访问非常敏感的信息，因此其造成的损害难以衡量。它构成了严重的威胁，尤其是在它被用于出于政治和地缘政治动机的攻击的情况下。这类恶意软件不仅仅是一个技术问题，它还是通过数字手段影响全球事务的更大战略的一部分。

威胁摘要

姓名：ApolloShadow

类别：木马

特征：这种感染背后的威胁行为者可以将其用于多种可恶的目的

威胁等级：高

症状：频繁的系统崩溃和死机、受感染 PC 的性能下降、错误消息等。

分发：虚假电子邮件附件、欺骗性广告、不安全的网站

ApolloShadow：深度分析

像 ApolloShadow 这样的特洛伊木马可用于各种恶意活动。 这是一种全新的恶意软件，因此我们尚无法准确告知您该病毒将在您的计算机中执行什么操作。 但是，您需要注意与感染相关的许多事情。 它可用于窃取保存在设备内的重要信息，还可以使用不同的策略从受害者那里榨取金钱。 它可以让网络骗子远程访问受感染的 PC，然后这些 PC 可以自己完成所有犯罪活动。

此外，ApolloShadow 可以通过摄像头、麦克风和其他方式监视您并记录您的活动。 它可以记录您的击键并收集您通过键盘键入的所有数据。 此外，它可以使您的设备成为僵尸网络的一部分，并通过网络攻击其他计算机。 威胁行为者也可以利用这种寄生虫来挖掘加密货币。 这是一个需要消耗大量系统资源的过程。 因此，很可能会出现经常性的崩溃和死机以及整体设备速度变慢的问题。 为避免发生这种情况，请尽快从设备中删除 ApolloShadow。

ApolloShadow 感染的有害影响是什么？

像 ApolloShadow 这样的特洛伊木马是看似无害或有用的软件但包含隐藏的恶意代码的恶意程序。 一旦安装在计算机或设备上，特洛伊木马就会造成一系列有害影响，包括窃取敏感信息、控制系统以及将恶意软件传播到其他设备。 木马的一些危害能力如下：

1. 窃取敏感信息：ApolloShadow 等木马的主要目标之一是窃取敏感数据，例如用户名、密码、信用卡号和其他个人信息。 一旦该恶意软件安装在 PC 上，它就可以访问和捕获用户的击键、截取屏幕截图，甚至录制音频和视频。 然后，此信息可用于身份盗用、金融欺诈和其他可恶的活动。
2. 控制设备：ApolloShadow 还可以让黑客远程控制设备，使他们能够执行一系列恶意活动。 例如，攻击者可以利用它来访问和修改文件、删除或加密数据，甚至接管设备的摄像头和麦克风。 在某些情况下，互联网犯罪分子可能会使用特洛伊木马创建受感染系统网络，称为僵尸网络，可用于进一步的攻击。
3. 传播恶意软件：威胁行为者还可以使用 ApolloShadow 将恶意软件传播到其他设备，方法是发送受感染的文件或利用软件或操作系统中的漏洞。 这可能会导致恶意软件的快速传播和受感染设备数量的显着增加。
4. 加密数据：一些特洛伊木马旨在加密计算机上的数据并要求支付赎金以换取解密密钥。 这种类型的攻击被称为勒索软件，对于依赖其数据进行操作的组织和个人来说可能是毁灭性的。
5. 破坏性攻击：木马也可用于发起破坏性攻击，如删除或损坏文件、扰乱网络活动，甚至对系统造成物理损坏。 这些攻击可用于破坏企业、政府和关键基础设施，造成重大的财务和声誉损失。

简而言之，ApolloShadow 对个人和组织的安全和隐私构成重大威胁。 它可以窃取敏感信息、控制设备、传播恶意软件、加密数据并发起破坏性攻击。

ApolloShadow 可以传播勒索软件感染：

木马是网络罪犯传播勒索软件的常用方法，勒索软件是一种加密受害者文件并要求付款以换取解密密钥的恶意软件。 ApolloShadow 通常伪装成合法程序或文件，并通过电子邮件附件、恶意链接或受感染的软件下载传送到目标系统。

一旦木马安装在计算机上，它就会悄悄下载并安装勒索软件。 然后，勒索软件开始加密受害者的文件，使用户无法访问这些文件。 然后，攻击者要求付款，通常以加密货币的形式，以换取可以解锁文件的解密密钥。 勒索软件攻击的后果可能对个人和组织都很严重。 以下是 ApolloShadow 等木马传播的勒索软件攻击的一些潜在后果：

• 数据丢失：勒索软件可能导致受害者无法访问重要文件，例如个人照片、财务记录和商业文件。 如果受害者不支付赎金，这些文件可能会永久丢失。
• 经济损失：勒索软件攻击可能代价高昂，无论是索要赎金还是恢复丢失数据或修复设备或网络损坏的成本。
• 声誉受损：遭受勒索软件攻击的组织的声誉可能会受损，尤其是在敏感数据被泄露的情况下。
• 法律后果：如果受害者的数据包含个人或敏感信息，攻击者可能违反数据保护法，导致法律后果。
• 业务中断：勒索软件攻击可能会中断业务运营，导致收入损失、错过最后期限和其他负面后果。

综上所述，木马是网络犯罪分子传播勒索软件的常用手段。 勒索软件攻击的后果可能很严重。

ApolloShadow 窃取数据的能力会带来什么后果？

ApolloShadow 窃取信息的能力的后果可能是严重而持久的。 主要后果之一是身份盗用。 威胁行为者可以利用被盗数据来创建虚假身份或接管现有身份。 这可能导致经济损失、信用评分受损以及受害者的法律问题。 此外，身份盗窃的受害者可能会花费数月甚至数年的时间来试图解决因盗窃其个人信息而造成的损害。

ApolloShadow 窃取数据能力的另一个影响是金融欺诈。 互联网骗子可以使用窃取的数据进行未经授权的购买或从受害者的银行账户中提款。 这可能会给受影响的人造成财务损失，并损害他们的信用评分。 在某些情况下，受害人可能无法追回被盗资金，从而导致长期的财务问题。

特洛伊木马窃取数据的能力也会导致敏感商业信息的丢失。 网络罪犯可以使用窃取的数据访问公司网络并窃取有价值的业务数据，例如知识产权或商业机密。 这可能导致重大的经济损失和公司声誉的损害。 在某些情况下，敏感商业信息的丢失会导致公司倒闭。

最后，特洛伊木马窃取数据的能力会导致恶意软件的传播。 网络罪犯可以使用窃取的数据向受害者的联系人发送有针对性的网络钓鱼电子邮件或恶意软件附件。 这可能导致恶意软件传播到其他设备，造成安全漏洞和数据盗窃的多米诺骨牌效应。

简而言之，ApolloShadow 窃取数据的能力的后果很严重，可能对受害者的生活产生长期影响。 个人和公司采取积极措施保护他们的设备和数据免受这些类型的威胁非常重要，包括使用防病毒软件、避免可疑网站和下载，以及定期更新他们的安全软件。

我的电脑是如何感染这种病毒的？

此类恶意软件威胁可通过多种方式进入您的计算机。 一些常见的方法包括：

1. 垃圾邮件：垃圾邮件中的可疑链接可能导致安装病毒。
2. 在线免费托管资源：互联网上可用的免费托管资源也可能是恶意软件感染的来源。
3. 隐藏安装：病毒可以与其他应用程序一起秘密安装，尤其是免费软件或共享软件实用程序。
4. P2P资源：如果您使用非法的点对点（P2P）资源下载盗版软件，感染病毒的风险会增加。
5. 特洛伊木马：通过将威胁伪装成合法文件或程序，特洛伊木马可用于传播 ApolloShadow。

特洛伊木马通常通过包含恶意附件或链接的垃圾邮件传播。 网络犯罪分子会创建看似合法但看起来很有说服力的电子邮件，例如来自银行、运输公司或政府机构的消息。 这些电子邮件诱使收件人下载并打开附件或单击链接。 单击后，恶意负载会下载并在用户的计算机上执行，从而使计算机感染恶意软件。 在某些情况下，有效负载可能会嵌入到电子邮件本身中，从而使其在打开电子邮件后立即执行。

已报告 ApolloShadow 被伪装成合法工具的实例，伪装成要求启动不需要的软件或浏览器更新的消息。 一些在线诈骗采用一种技术来诱使您手动安装病毒，让您成为该过程的积极参与者。 通常，这些虚假警报不会表明您正在安装勒索软件。 相反，安装将伪装成合法程序（如 Adobe Flash Player 或其他一些可疑程序）的更新。 安装的真实性质将隐藏在这些虚假警报之下。

使用破解的应用程序和 P2P 资源下载盗版软件会对您的设备安全构成重大威胁，并可能导致注入 ApolloShadow 等严重恶意软件。

特洛伊木马是此类感染的流行攻击媒介。 黑客通过将恶意软件伪装成合法文件或程序，使用特洛伊木马传播勒索软件、RAT、加密矿工、数据窃取程序。 一旦受害者下载并执行木马，恶意软件有效载荷就会在他们的系统上释放。 木马可以通过各种渠道传播，包括恶意网站、社交媒体平台和点对点网络。 网络犯罪分子经常使用社会工程策略来诱骗用户下载并执行木马程序。

マルウェア対策の詳細とユーザーガイド

Windowsの場合はここをクリック
Macの場合はここをクリック

重要说明：该恶意软件要求您启用Web浏览器通知。因此，在进行手动删除过程之前，请执行以下步骤。

谷歌浏览器（PC）

• 转到屏幕的右上角，然后单击三个点以打开“菜单”按钮
• 选择“设置”。向下滚动鼠标以选择“高级”选项
• 向下滚动至“隐私和安全”部分，然后选择“内容设置”，然后选择“通知”选项
• 查找每个可疑的URL，然后单击右侧的三个点，然后选择“阻止”或“删除”选项

谷歌浏览器（Android）

• 转到屏幕的右上角，然后单击三个点以打开菜单按钮，然后单击“设置”
• 进一步向下滚动以单击“站点设置”，然后按“通知”选项
• 在新打开的窗口中，一个一个地选择每个可疑URL。
• 在权限部分，选择“通知”，然后选择“关闭”切换按钮

火狐浏览器

• 在屏幕的右上角，您会注意到三个点，即“菜单”按钮
• 选择“选项”，然后在屏幕左侧的工具栏中选择“隐私和安全性”
• 缓慢向下滚动并转到“权限”部分，然后选择“通知”旁边的“设置”选项
• 在新打开的窗口中，选择所有可疑URL。点击下拉菜单，然后选择“阻止”

IE浏览器

• 在Internet Explorer窗口中，选择右上角的Gear按钮
• 选择“ Internet选项”
• 选择“隐私”选项卡，然后选择“弹出窗口阻止程序”部分下的“设置”
• 逐一选择所有可疑URL，然后单击“删除”选项

微软边缘

• 打开Microsoft Edge，然后单击屏幕右上角的三个点以打开菜单
• 向下滚动并选择“设置”
• 进一步向下滚动以选择“查看高级设置”
• 在“网站权限”选项中，单击“管理”选项
• 单击每个可疑URL下的开关

Safari（Mac）：

• 在右上角，单击“ Safari”，然后选择“首选项”
• 转到“网站”选项卡，然后在左窗格中选择“通知”部分
• 搜索可疑URL，并为每个URL选择“拒绝”选项

手动步骤以删除ApolloShadow：

使用控制面板删除ApolloShadow的相关项目

Windows 7用户

单击“开始”（桌面屏幕左下角的Windows徽标），然后选择“控制面板”。找到“程序”，然后单击“卸载程序”

Windows XP用户

单击“开始”，然后选择“设置”，然后单击“控制面板”。搜索并单击“添加或删除程序”选项

Windows 10和8用户：

转到屏幕的左下角，然后单击鼠标右键。在“快速访问”菜单中，选择“控制面板”。在新打开的窗口中，选择“程序和功能”

Mac OSX用户

单击“查找器”选项。在新打开的屏幕中选择“应用程序”。在“应用程序”文件夹中，将应用程序拖到“垃圾箱”。右键单击垃圾箱图标，然后单击“清空垃圾箱”。

在卸载程序窗口中，搜索PUA。选择所有不需要的和可疑的条目，然后单击“卸载”或“删除”。

卸载所有可能导致ApolloShadow问题的潜在有害程序后，请使用反恶意软件工具扫描计算机，查看是否有任何剩余的PUP和PUA或可能的恶意软件感染。要扫描PC，请使用推荐的反恶意软件工具。

如何从Internet浏览器中删除广告软件（ApolloShadow）

从IE删除恶意加载项和扩展名

单击Internet Explorer右上角的齿轮图标。选择“管理加载项”。搜索任何最近安装的插件或附件，然后单击“删除”。

附加选项

如果仍然遇到与ApolloShadow删除有关的问题，可以将Internet Explorer重置为其默认设置。

Windows XP用户：按“开始”，然后单击“运行”。在新打开的窗口中，键入“ inetcpl.cpl”，然后单击“高级”选项卡，然后按“重置”。

Windows Vista和Windows 7用户：按Windows徽标，在开始搜索框中键入inetcpl.cpl，然后按Enter。在新打开的窗口中，单击“高级选项卡”，然后单击“重置”按钮。

对于Windows 8用户：打开IE，然后单击“齿轮”图标。选择“ Internet选项”

在新打开的窗口中选择“高级”标签

按下“重置”选项

您必须再次按下“重置”按钮以确认您确实要重置IE。

从Google Chrome移除可疑和有害扩展程序

通过按三个垂直点进入Google Chrome菜单，然后选择“更多工具”，然后选择“扩展”。您可以搜索所有最近安装的加载项，然后删除所有加载项。

可选方法

如果与ApolloShadow相关的问题仍然存在，或者在删除时遇到任何问题，建议您重置Google Chrome浏览器设置。转到右上角的三个点，然后选择“设置”。向下滚动底部，然后单击“高级”。

在底部，注意“重置”选项，然后单击它。

在下一个打开的窗口中，通过单击“重置”按钮确认您要重置Google Chrome设置。

从Firefox Mozilla中删除ApolloShadow插件（包括所有其他可疑插件）

打开Firefox菜单，然后选择“附加组件”。单击“扩展名”。选择所有最近安装的浏览器插件。

可选方法

如果在删除ApolloShadow时遇到问题，则可以选择重新设置Mozilla Firefox的设置。

打开浏览器（Mozilla Firefox），然后单击“菜单”，然后单击“帮助”。

选择“故障排除信息”

在新打开的弹出窗口中，单击“刷新Firefox”按钮

下一步是确认真正要通过单击“刷新Firefox”按钮将Mozilla Firefox设置重置为其默认设置。

从Safari移除恶意扩展

打开Safari并转到其“菜单”，然后选择“首选项”。

单击“扩展名”，然后选择所有最近安装的“扩展名”，然后单击“卸载”。

可选方法

打开“ Safari”并进入菜单。在下拉菜单中，选择“清除历史记录和网站数据”。

在新打开的窗口中，选择“所有历史记录”，然后按“清除历史记录”选项。

从Microsoft Edge删除ApolloShadow（恶意加载项）

打开Microsoft Edge并转到浏览器右上角的三个水平点图标。选择所有最近安装的扩展，然后右键单击鼠标以“卸载”

可选方法

打开浏览器（Microsoft Edge）并选择“设置”

下一步是单击“选择要清除的内容”按钮

单击“显示更多”，然后选择所有内容，然后按“清除”按钮。

如何防止 ApolloShadow 攻击？

尽管没有任何安全措施可以保证完全抵御恶意软件，但您可以采取某些预防措施来防止可怕的网络威胁感染您的设备。 安装免费软件时要保持警惕，并仔细阅读安装程序的附加优惠。

用户在打开来自未知发件人的电子邮件或任何看似可疑或异常的邮件时应谨慎。 如果发件人或地址不熟悉，或者内容与您期望的无关，最好不要打开邮件。 你不太可能在你没有参加的比赛中获奖，所以要警惕任何声称你赢了东西的电子邮件。 如果电子邮件主题似乎与您预期的内容相关，请务必彻底检查邮件的各个方面。 骗子经常犯错，因此仔细检查电子邮件的内容可以帮助您识别任何欺诈活动。 请记住，最好谨慎行事，避免打开看似可疑的电子邮件或信件。

使所有软件和安全程序保持最新状态以防止恶意软件可以利用的漏洞也很重要。 使用破解的或未知的程序是基于特洛伊木马的攻击的重大风险。 网络罪犯经常分发伪装成合法软件的特洛伊木马，例如补丁或许可证检查。 然而，区分可信软件和恶意特洛伊木马是一项挑战，因为某些特洛伊木马甚至可能具有用户寻求的功能。

为了减轻这种风险，至关重要的是避免完全使用不受信任的程序，并且只从信誉良好的来源下载软件。 在下载任何程序之前，用户应该彻底研究它并阅读来自可信来源的评论。 还建议咨询反恶意软件留言板，以收集有关可能引起怀疑的任何软件的更多信息。 归根结底，抵御特洛伊木马攻击的最佳方法是谨慎行事，避免从不受信任的来源下载软件。

结论

在大多数情况下，PUP和广告软件通过不安全的免费软件下载进入标记的PC中。建议您仅在下载任何类型的免费应用程序时才选择开发人员网站。选择自定义或高级安装过程，以便您可以跟踪列出的要与主程序一起安装的其他PUP。